Agentes de IA em criptomoedas estão cada vez mais incorporados em wallets, bots de negociação e assistentes em cadeia que automatizam tarefas e tomam decisões em tempo real.
Embora ainda não seja um framework padrão, o Protocolo de Contexto de Modelo (MCP) está emergindo no coração de muitos desses agentes. Se as blockchains têm contratos inteligentes para definir o que deve acontecer, os agentes de IA têm MCPs para decidir como as coisas podem acontecer.
Ele pode atuar como a camada de controle que gerencia o comportamento de um agente de IA, como quais ferramentas ele usa, qual código ele executa e como ele responde às entradas do usuário.
Essa mesma flexibilidade também cria uma superfície de ataque poderosa que pode permitir que plugins maliciosos substituam comandos, envenenem entradas de dados ou enganem agentes para executar instruções prejudiciais.
Vetores de ataque do MCP expõem problemas de segurança dos agentes de IA
De acordo com a VanEck, o número de agentes de IA na indústria de criptomoedas ultrapassou 10.000 no final de 2024 e deve superar 1 milhão em 2025.
A empresa de segurança SlowMist descobriu quatro potenciais vetores de ataque que os desenvolvedores precisam ficar atentos. Cada vetor de ataque é entregue através de um plugin, que é como os agentes baseados em MCP ampliam suas capacidades, seja puxando dados de preços, executando negociações ou realizando tarefas do sistema.
Envenenamento de dados: Este ataque faz com que os usuários realizem etapas enganosas. Ele manipula o comportamento do usuário, cria dependências falsas e insere lógica maliciosa no início do processo.
Ataque de injeção JSON: Este plugin recupera dados de uma fonte local (potencialmente maliciosa) por meio de uma chamada JSON. Pode levar a vazamentos de dados, manipulação de comandos ou à superação de mecanismos de validação ao fornecer entradas contaminadas ao agente.
Substituição de função competitiva: Essa técnica substitui funções legítimas do sistema por código malicioso. Impede que operações esperadas ocorram e incorpora instruções ofuscadas, interrompendo a lógica do sistema e escondendo o ataque.
Ataque de chamada Cross-MCP: Este plugin induz um agente de IA a interagir com serviços externos não verificados por meio de mensagens de erro codificadas ou prompts enganosos. Amplia a superfície de ataque ao vincular múltiplos sistemas, criando oportunidades para exploração adicional.
Esses vetores de ataque não são sinônimos ao envenenamento de modelos de IA em si, como GPT-4 ou Claude, que podem envolver a corrupção dos dados de treinamento que moldam os parâmetros internos de um modelo. Os ataques demonstrados pela SlowMist visam agentes de IA — que são sistemas construídos sobre modelos — que agem em entradas em tempo real usando plugins, ferramentas e protocolos de controle como o MCP.
“O envenenamento de modelos de IA envolve a injeção de dados maliciosos em amostras de treinamento, que então se tornam incorporados nos parâmetros do modelo,” cofundador da empresa de segurança em blockchain SlowMist “Monster Z” disse ao Cointelegraph. “Em contraste, o envenenamento de agentes e MCPs provém principalmente de informações maliciosas adicionais introduzidas durante a fase de interação do modelo.”
“Pessoalmente, acredito que o nível de ameaça e o escopo de privilégios [do envenenamento de agentes] são maiores do que os do envenenamento de IA autônoma,” disse ele.
MCP em agentes de IA é uma ameaça para criptomoedas
A adoção de MCP e agentes de IA ainda é relativamente nova em criptomoedas. A SlowMist identificou os vetores de ataque em projetos de MCP pré-lançados que auditou, o que mitigou perdas reais para os usuários finais.
No entanto, o nível de ameaça das vulnerabilidades de segurança do MCP é muito real, de acordo com Monster, que lembrou de uma auditoria onde a vulnerabilidade pode ter levado a vazamentos de chaves privadas — uma experiência catastrófica para qualquer projeto ou investidor em criptomoedas, pois poderia conceder controle total dos ativos a agentes não convidados.
“No momento em que você abre seu sistema para plugins de terceiros, você está ampliando a superfície de ataque além do seu controle,” Guy Itzhaki, CEO da empresa de pesquisa em criptografia Fhenix, disse ao Cointelegraph.
“Plugins podem atuar como caminhos de execução de código confiáveis, muitas vezes sem o devido isolamento. Isso abre a porta para escalonamento de privilégios, injeção de dependências, substituições de funções e — pior de tudo — vazamentos de dados silenciosos,” ele acrescentou.
Proteger a camada de IA antes que seja tarde demais
Construa rápido, quebre coisas — e então seja hackeado. Esse é o risco enfrentado por desenvolvedores que adiam a segurança para a versão dois, especialmente no ambiente de alto risco em cadeia das criptomoedas.
O erro mais comum que os construtores cometem é assumir que podem passar despercebidos por um tempo e implementar medidas de segurança em atualizações posteriores após o lançamento. Isso é de acordo com Lisa Loud, diretora executiva da Secret Foundation.
“Quando você constrói qualquer sistema baseado em plugins hoje, especialmente se for no contexto de criptomoedas, que é público e em cadeia, você precisa construir a segurança primeiro e tudo o mais em segundo lugar,” ela disse ao Cointelegraph.
Os especialistas em segurança da SlowMist recomendam que os desenvolvedores implementem verificação rigorosa de plugins, reforcem a sanitização de entradas, apliquem princípios de privilégio mínimo e revisem regularmente o comportamento dos agentes.
Loud disse que não é “difícil” implementar tais verificações de segurança para prevenir injeções maliciosas ou envenenamento de dados, apenas “tedioso e demorado” — um pequeno preço a pagar para garantir os fundos de criptomoedas.
À medida que os agentes de IA expandem sua presença na infraestrutura de criptomoedas, a necessidade de segurança proativa não pode ser subestimada.
O framework MCP pode desbloquear poderosas novas capacidades para esses agentes, mas sem guardrails robustos em torno de plugins e do comportamento do sistema, eles podem se transformar de assistentes úteis em vetores de ataque, colocando carteiras de criptomoedas, fundos e dados em risco.
Revista: Tokens de IA em criptomoedas disparam 34%, por que o ChatGPT é tão adular: Olho da IA
